作者丨胡泉 黄毅杰

机构丨上海众华律师事务所

      《个人信息保护法》（以下简称：《个保法》）自2020年10月草案公布以来便备受社会各界关注，现已经过全国人大常委会正式表决通过，并于去年的11月1日起施行。

      《个保法》的出台无疑彰显了我国对于公民个人信息保护的重视程度以及对于各类涉及公民个人信息等违法行为的规制与惩治的决心。此法一经颁布，在引发社会各界一片叫好之声的同时，却让有的单位犯了难，对于劳动者个人信息的保护是否与单位的用工管理权能存在着天然的冲突？该法对于我们的日常管理以及可能面临的劳动争议会产生哪些的影响？这或许是萦绕在不少用人单位心中的疑虑。笔者看到，已经有用人单位重视到这个问题，希望通过完善公司内部规章制度或员工个人信息处理规则等方式，合法地提高风险管理能力,而其中，在处理处分违纪员工时涉及的个人信息处理，或许是一个容易被忽视的风险。

       2018年12月7日12点24分，蒋某收到了公司一份名为《关于入职资料异常问题核实》的邮件，公司要求蒋某在当天18点向其提供有关学历与简历的书面证明材料。当天20:45分，该公司向全体员工发送名为《关于解除蒋某劳动合同的声明公告》的邮件，其中载明“经调查核实，蒋某提供的入职资料涉及学历造假、简历造假，具体情况说明如下：1.根据其提供的学历证书，在国家官方网站上未能查到该证书的任何信息；2……以上信息已发正式邮件给蒋某核实，在约定的时间内其无法提供相关书面证明予以证实上述虚假问题。根据公司入职管理要求，应聘人员须如实完整提供真实材料，如有隐瞒或虚构事实，公司将予以辞退或开除……有鉴于此，公司自2018年12月7日正式解除与蒋某的劳动合同关系，予以辞退。”     

       两天过后，蒋某向公司发出“诉公司诽谤蒋某学历造假一罪的刑事自诉”，蒋某解释称“其就读的系同等学力申请硕士学位的在职研究生，只有学位证书，没有学历证书。而学信网只能查询到学历证书，无法查询学位证书，故公司无法在学信网查询自己的硕士学位证书”。至于简历信息，公司在未向相关人员核实的情况下，声称其中存在虚假成分，已构成诽谤。

       次日，蒋某又委托律师发函，要求公司向全体员工发文澄清并道歉。同日，公司回复蒋某并抄送全体员工，要求其进一步提供官方认证的正式书面文件。之后，双方就此诉至法院。

       一审法院认为，该公司向全体员工发布的《声明公告》，其中涉及“学历造假”、“工作经历虚假”等内容。在蒋某发送自诉信与律师函后，公司继续向全体员发送邮件，并进一步公开了蒋某的相关个人信息。作为用人单位，公司在录用时蒋某时已对其提及的相关证件和资料进行形式审查，在明知其未取得硕士学历证书/毕业证书的情况下，仍前往学信网进行查询，并将结果进行公布。该公司在首次发布全员邮件前，虽与蒋某进行过邮件确认，但其给予的核实时间不足六小时，并非合理且必要的准备时间。

       综上，法院认为公司言论已构成对蒋某名誉权的侵害，判决该公司于判决生效之起十天内向蒋某书面赔礼道歉，并通过向全体员工发送邮件、发送企业微信全员消息的方式，澄清事实，为蒋某消除影响、恢复名誉。该公司不服，上诉称自己向全体员工发送邮件是为了给员工们以真相，进一步公开蒋某个人信息也是为了证明公司并未扭曲事实，而是有理有据解除其劳动关系。

       二审法院认为，被上诉人作为用人单位，发现问题时本应与员工及时沟通、妥善处理，但其却仅给予蒋某6小时以提供书面证明，并于6小时后匆忙向全体员工发布题为《关于解除蒋某劳动合同的声明公告》的邮件，认定其学历造假、工作经历虚假，并以此为由解除劳动关系。结合之后两次群发的行为，可认定公司已影响了蒋某在该单位同事心目中的形象，必然造成其社会评价降低，构成对为其名誉权的侵害。故维持一审判决，驳回公司上诉。

       因该案发生于2018年，法院当时依据《民法总则》与《侵权责任法》的相关规定以公司侵犯员工名誉权为由作出了判决，那么现在《个保法》施行的背景下，我们再用《个保法》的相关规定来回顾这起案件，又会给用人单位带来哪些启示呢？

       根据《个保法》第十三条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：……（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；……依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”因为学历信息与简历中的工作经历，在很大程度上将影响公司判断其是否符合录用条件，也是与双方订立履行劳动合同紧密相关的基本情况，事关如何安排员工提供入职后的具体工作岗位，且亦不属于个人隐私的范畴，故公司要求员工提供真实、准确的学历和工作经历信息，笔者认为仍属于在合理范围。即使用人单位在员工入职时，无法或无条件及时就相关信息进行核实，无论是出于诚实信用原则的考量，还是通过内部规度予以明确，都有权在员工入职后对此再及时地进行复核。此外，也有不少用人单位在员工入职时要求期承诺若有虚假或故意隐瞒，自愿接受相关规章制度的处理处分或立即解除劳动合同，也是保障信息真实性、有效性的管理措施。

       但本案中，公司的侵权之处并不在于前期的收集或要求再提供证明的行为，而是在于后续不但进行了公开而且在未获得准确信息的前提下就认定员工“学历造假”。而“学位”和“学历”本身亦有所不同，员工已经作出了合理解释后，用人单位仍一再坚持认为员工造假，并向全体员发送邮件，进一步公开了蒋某的相关个人信息。该行为不仅泄露员工个人信息，而且侵害了员工名誉权。《个保法》明确规定了只有在取得“个人单独同意”的情形下，个人信息处理者才能公开其处理的个人信息。因而公司通过群发邮件等方式将蒋某的个人信息公之于众的行为若放在现在，显然违法。公司在庭审中抗辩称是蒋某先向公司全员发送了《律师函》要求其澄清事实，公司才选择通过向全员发送其《个人信息登记表》与《学历证书》的方式予以回应，意在给员工们作出解释和证明。但此种抗辩仍未获得“个人单独同意”，即使要澄清事实也不应当公开其登记表中所有个人信息，而应当隐去登记表中其他个人信息包括敏感信息或隐私信息。

       1. 明确有权收集的个人信息的范围。

       根据《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”、“处理个人信息的，应当遵循合法、正当、必要原则”。首先公司有权向劳动者收集的个人信息应当符合合法性、正当性和必要性的基本原则，与劳动合同直接相关的基本情况或者按照规章制度或集体合同实施人力资源管理所必需才是公司有权收集的范围。通常包括劳动者基本身份信息、能反映其工作能力或工作技能、经历或履历、特殊岗位必须具备的资格证书、健康状况、有无从业的禁止性规定的情形等。若此类信息存在造假嫌疑，则公司有权向劳动者进行进一步核实，若确实为虚假信息的，有权依据依规章作出相应的违纪处分，《劳动合同法》对此也赋予了劳动者就此类信息的如实告知义务。而其它与订立或履行劳动合同、实施人力资源管理无关的信息，劳动者并没有告知的义务。同时，要对个人敏感信息引起重视，《个保法》在“敏感个人信息的处理规则”中对于敏感信息的处理前提和处理方式均作出明确规定。同时用人单位可根据国家市场监督管理总局及国家标准化管理委员会发布的《信息安全技术个人信息安全规范》对是否属于敏感个人信息进行识别，在该《安全规范》中主要列举了五大类典型的个人敏感信息的具体内容，涉及个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息和其它信息。并要求对个人敏感信息采取严格的保护措施。其中处理个人敏感信息应当取得个人的单独同意，而这里所指的“单独同意”虽然尚未看到明确的司法解释，但是根据《人脸识别司法解释》的规定，信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的，不应认为获得了自然人或监护人的单独同意。另外，处理敏感个人信息应当履行充分的告知义务，这些规则都应当成为用人单位升级其内部规章制度的重要依据。

       2. 做好制度建设并采取保密措施除了应当针对不同类别的个人信息做好分类管理以外，用人单位应当对其所获取的个人信息承担保密义务，对已掌握的个人信息及时采取相应的加密、去标识化等安全技术措施，以最大限度上避免在日后的处理中对信息主体的合法权益构成侵犯。

       此外也应当明确相关部门和责任人的保密义务，对不同部门的不同操作权限的人员进行分类对待，涉及个人信息的工作人员应当对个人信息承担保密义务，并定期对操作人员进行教育和培训。有必要的还可以对员工手册、规章制度等内部管理规范进行升级，将个人信息的收集、处理、流转、保密、违纪处分等纳入规范。同时加强其对于个人信息安全的保护措施，一旦发生或可能发生个人信息的泄露、篡改或丢失，公司可采取相关预案，以最小范围地控制可能造成的不利影响，及时发现侵权人，对其采取有效的措施以防止侵害进一步扩大，同时依法对侵权人进行问责甚至追究其法律责任。

       3. 公示公告违纪处理处分时的注意事项。

       处理处分员工的合法性问题，笔者在此不赘述，即使处理处分本身合法，但若涉及将该内容在员工中进行公告甚至对客户进行告知的，则用人单位仍需注意对员工个人信息的保护义务。实践中，有的公司保留了“通报批评”或类似的处理处分方式，在对员工进行违纪处理的同时，向全体员工进行公告，甚至在其官网公示了员工相关的个人信息及违纪解除劳动关系或降职降岗等情况的书面说明。公司或许会称此举是为了告知客户，自己已经与该员工不再有劳动关系或者员工已经无权代表公司从事相关商事活动，避免今后发生纠纷，从而保护自身合法权益。但笔者认为，即便信息可以公开也仍应当对其合理性和必要性进行基本判断。若公司仅希望对内部员工起到震慑作用，则使用“通报批评”等方式对该处理处分公开的范围应仅限于员工内部，且公开的内容中不应涉及员工其他个人信息甚至隐私或敏感信息。若对外发表公告或声明该员工的行为可能对公众或不特定的客户带来影响的，则为了及时消除影响、避免损失，通过对外公开的渠道适当发布公告，尚有必要性和正当性，但员工的其他个人信息甚至隐私或敏感信息仍应除外。否则由此发生争议的，即使公司引用法条认为这无需“个人同意”，但是否属于“实施人力资源管理所必需”，其必要性、正当性和合理性也将成为审查的关键。

       此外也需要注意一些特殊主体的义务，例如《个保法》规定，对于处理个人信息达到国家网信部门规定数量的个人信息处理者（一般也是单位），应当指定“个人信息保护负责人”，负责对个人信息的处理活动以及对采取的保护措施等进行监督，而一旦存在违法处理个人信息的情形，该“负责人”不仅将面临罚款处罚的可能性，也将在情节严重的情形下，和董事、监事和高级管理人员一样遭遇到一定期限内的从业禁止。上月底，某地银保监局向当地某银行行长沈某作出了禁止其从事银行业工作五年的行政处罚，其原因就在于沈某在担任银行行长期间，将该行受理的贷款客户财产信息提供给他人用于招揽业务，构成了侵犯公民个人信息罪，并被判处有期徒刑三年，缓刑三年。

       该案案发时，《个保法》尚未出台，银保监局依据《银行金融机构从业人员执业操作指引》对其作出了行政处罚，而时至今日，禁业性质的处罚已经不再局限于特定行业，除了金融系统有行业规范以外，还有大量的部门法或行政法规、规章、行业规范性文件对相关行业的个人信息和隐私保护进行了规范，也都是用人单位在执行中参考的依据，在此不作赘述。

       在此提醒用人单位，在对违纪员工进行处理处分时，应当严格按照《个保法》等相关法律的要求与内部规章的规定保护好员工个人信息。当纪律部门对员工进行相应处理、处分时，无论是前期的调查取证还是后期的处理，若涉及员工各类个人信息的，有“个人信息保护负责人”的，则如何保护员工个人信息可以听取该负责人的意见；若无该负责人的，则在调查和处分中相关工作人员都应该严格把好这道关。纵观《个保法》第七章对于法律责任的规定，不难看出法律对于惩治违法处理个人信息行为的力度之大。

       笔者认为，在用人单位执行《个保法》方面，应当注意到用人单位行使管理权与劳动者个人权利的平衡，既要正当地行使管理权，也应当保障劳动者作为自然人的个人信息保护和隐私权保护，避免劳动者因接受用人单位的管理或因单位的侵权行为而导致其个人信息甚至隐私的外泄而遭受干扰，甚至造成财产和名誉受损。